創(chuàng)建AD RMS文件加密服務器

AD RMS服務器角色簡介

在Windows Server 2008的服務器角色中，有提供過去可安裝在Windows Server 2003上的RMS服務，簡稱為AD RMS服務器角色，來搭配應用程序服務器角色，安裝設置全新的AD RMS的服務，以提供客戶端Office文件內(nèi)容的加密功能，這樣，有效防范不合法文件的復制、打印等行為。

ADRMS（Active Directory Rights Management Services）必須通過與現(xiàn)有的Active Directory集成，來進行用戶的身份驗證與屬性確認（包括E-mail地址與所屬群組），以及讓IRM的客戶端（Office 2003專業(yè)版以上版本、IE6以上瀏覽器）可以找到RMS所提供的服務 連 接 點（SCP，Service Connection Point），然 后開始進行各種Office文件（Word、PowerPoint、Excel）的加密。接下來就讓我們一同來看看這部分的安裝設置。

圖4 設置數(shù)據(jù)庫

正確安裝設置AD RMS服務器角色

首先從“服務器管理員”界面中點擊“添加角色”連接，然后勾選“Active Directory Rights Management Services”。由于AD RMS的服務器角色安裝需要其他相關的組件，例如IIS網(wǎng)站組件、消息隊列服務等，因此，將會出現(xiàn)添加角色向導頁面。

接 下 來，在“選 取 角色服務”頁面中，勾選“Active Directory Rights Management Services”項，至于“識別身分同盟支持”組件的安裝，只有在與不同組織的Active Directory集成時才會用到。

在“創(chuàng)建或加入AD RMS群集”頁面中，勾選“創(chuàng)建新 的 AD RMS群 集”。 在“選取設置數(shù)據(jù)庫”的頁面中，必須設置AD RMS所要連接的后端SQL Server數(shù)據(jù)庫（如圖 4），在默認的狀態(tài)下，系統(tǒng)會選擇使用Windows Server 2008內(nèi)置 的 SQL Server實 例（稱之 為Windows internal Database）。

在“選定服務賬戶”頁面中，點擊“選定”按鈕來設置一個用來負責啟動AD RMS服務器服務的賬戶，此賬戶將會自動被加入到AD RMS服務群組的成員之中。在“設置AD RMS群集密鑰儲存”頁面中，選取“使用AD RMS集中管理的密鑰儲存”項目即可。在“選定AD RMS群集密鑰密碼”頁面中，必須設置一組保護AD RMS群集密鑰的密碼。

由于AD RMS應用程序是實施在IIS網(wǎng)站的基礎之下，因此在“選取AD RMS群集網(wǎng)站”頁面中，便需要選擇應用程序存放的網(wǎng)站。接下來，在“選定群集地址”頁面中，首先必須決定要讓AD RMS與IRM客戶端聯(lián)機時，所要采用的聯(lián)機方式（加密或未加密），在此當然強烈建議選擇默認的“使用SSL加密聯(lián)機”，緊接著，在下方輸入完整的內(nèi)部聯(lián)機網(wǎng)址與通訊端口，并點擊“驗證”按鈕以確認可以正常聯(lián)機網(wǎng)站。

在“選擇服務器驗證證書進行SSL加密”頁面中，需要挑選一個現(xiàn)有的服務器證書，或是改由選取“創(chuàng)建自我簽署證書進行SSL加密”。不過，這種方式必須將這個簽署的證書也一并安裝在所有聯(lián)機的IRM客戶端計算機上。在“服務器授權人證書的名稱”頁面中，輸入一個用以識別此證書的識別名稱即可。在“登錄AD RMS服務聯(lián)機點”頁面中，請選取“立即登錄AD RMS服務聯(lián)機點”項。最后，連續(xù)點擊多次“下一步”即可完成安裝。

完成了AD RMS服務器角色的創(chuàng)建之后，它將以用來集成文件服務器、SharePoint Server網(wǎng)站、Exchange Server，讓所有機密性質的Office文件，皆可自動通過AD RMS服務來完成內(nèi)容加保護，有效防止未經(jīng)授權的用戶通過E-mail、打印或是復制等方式，泄漏了企業(yè)的重要機密文件或郵件，造成嚴重的商業(yè)損失。

在此筆者以集成SharePoint Server 2010以上版本為例子，您只要SharePoint管理中心的網(wǎng)站上，開啟“信息版權管理”頁面，選取“使用在Active Directory中指定的預設RMS服務器”，然后點選“確定”即可進行與AD RMS服務器的連接。

注意：如果在點選“確定”之后出現(xiàn)了紅色的錯誤信息，一般來說便是兩種可能的問題。第一是AD RMS沒有啟用SCP登錄設置，第二則是AD RMS的網(wǎng)站文件夾安全性未被正確設置。

在完成了AD RMS服務的連接之后，便可以開始來設置所要進行加密保護的SharePoint文檔庫。您只要在“文檔庫設置”頁面中點選“信息版權管理”超連接，然后依序完成設置“停止限制文檔庫訪問權的日期”，以及是否要禁止文件于網(wǎng)頁瀏覽器中開啟、是否允許檢視者打印、是否允許檢視者執(zhí)行程序碼、允許檢視者寫入下載文件的復本、文件被用戶下載后的開啟期限等保護設置。

結論

Windows Server 2008除了提供最先進的應用系統(tǒng)操作系統(tǒng)之外，為應對全球綠色IT與虛擬化世代的來臨，它更內(nèi)置提供了Hyper-V虛擬服務器的角色，不只讓Windows的應用系統(tǒng)可以在虛擬化環(huán)境中運行，也能夠讓現(xiàn)有異構平臺的操作系統(tǒng)與應用程序，遷移到虛擬化的運作環(huán)境中來繼續(xù)提供企業(yè)IT服務，為后來的Windows Server 2012、Windows Server 2016奠定了穩(wěn)固的發(fā)展基礎。從整體來看，在物理主機與虛擬機的集成之下，不僅可以讓客戶端使用者享有更加流暢與安全的新體驗，對于企業(yè)整體IT營運來說，也大幅簡化了實施管理與維運成本。